CN111630882A - 确定用于保护用户设备与应用服务器之间的通信的密钥的方法 - Google Patents
确定用于保护用户设备与应用服务器之间的通信的密钥的方法 Download PDFInfo
- Publication number
- CN111630882A CN111630882A CN201980009127.0A CN201980009127A CN111630882A CN 111630882 A CN111630882 A CN 111630882A CN 201980009127 A CN201980009127 A CN 201980009127A CN 111630882 A CN111630882 A CN 111630882A
- Authority
- CN
- China
- Prior art keywords
- user equipment
- key
- authentication
- application server
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 99
- 238000004891 communication Methods 0.000 title claims abstract description 72
- 238000010295 mobile communication Methods 0.000 claims abstract description 37
- 238000009795 derivation Methods 0.000 claims abstract description 18
- 238000012795 verification Methods 0.000 claims description 16
- 238000004364 calculation method Methods 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 7
- 230000001960 triggered effect Effects 0.000 claims description 4
- 230000001419 dependent effect Effects 0.000 claims description 3
- 230000006870 function Effects 0.000 description 45
- 230000008569 process Effects 0.000 description 9
- 238000013523 data management Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- RZVAJINKPMORJF-UHFFFAOYSA-N Acetaminophen Chemical compound CC(=O)NC1=CC=C(O)C=C1 RZVAJINKPMORJF-UHFFFAOYSA-N 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000006386 memory function Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种用于确定用于保护用户设备(10)与应用服务器(40)之间的通信的密钥的方法。移动通信网络的认证服务器(20)和用户设备在认证过程期间生成秘密主密钥。该用户设备向该认证服务器发送与该应用服务器进行通信的密钥请求,并接收随机变量。该认证服务器和该用户设备通过使用主密钥将密钥推导函数至少应用于该随机变量、用户标识符和应用服务器标识符来计算所请求的密钥。
Description
技术领域
本发明涉及一般电信领域。
更具体地,本发明涉及一种用于确定旨在使用户设备与应用服务器之间的通信安全的密钥的技术。
用于确定密钥的技术适用于移动通信网络领域。
背景技术
为了允许用户设备UE(也称为终端)与应用服务器进行安全通信,在移动网络(例如,第四代移动网络)的背景下,3GPP标准化组织已定义了一种称为通用引导架构(GBA)的架构。参考3GPP TS 33.220版本V15.1.0的标题为“通用认证架构(GAA);通用引导架构(GBA)(版本15)”的技术规范中定义了此架构。在GBA中规定了引导服务功能(BSF),该功能执行终端的认证并且允许定义与引导事务标识符B_TID相关联的主密钥Ks。一旦已经定义了该主密钥Ks,终端和BSF就能够从主密钥Ks推导出密钥Ks_NAF,以使得与应用服务器NAF的交换安全。更确切地说,该密钥Ks_NAF是通过将密钥推导函数KDF应用于密钥推导参数来从主密钥Ks推导的。这些参数尤其包括应用服务器的标识符NAF_Id和在认证中使用的随机数RAND。在这些动作结束时,终端和BSF共享密钥Ks_NAF,该密钥Ks_NAF旨在用于使终端与应用服务器NAF之间的交换安全。然后,应用服务器NAF从BSF请求与事务标识符B_TID相关联的密钥Ks_NAF。终端和应用服务器NAF然后可以通过密钥Ks_NAF安全地通信。
在这种情况下,移动网络的运营商是中间人,其使用在归属用户系统(HSS)与终端的安全模块之间共享的秘密来保证应用服务器NAF与终端UE之间的链接安全性,而无需这两个实体共享秘密。
将这样的GBA引入到移动运营商的网络中会导致相当大的成本,特别是由于BSF的引入以及其与移动网络的接口连接。
而且,目前正在由3GPP组织进行标准化过程的第五代移动网络(5G)中尚未提供与该GBA功能类似的功能。
发明内容
本发明的目的之一是补救现有技术的不足/缺点和/或对其进行改进。
根据第一方面,本发明的一个主题是一种用于确定旨在使用户设备与应用服务器之间的通信安全的密钥的方法。该方法在该用户设备中包括:
-由移动通信网络的认证服务器对用户设备进行认证,在所述认证期间,由该用户设备和该认证服务器生成秘密主密钥;
-由该用户设备向该认证服务器发送密钥请求,以与该应用服务器进行通信;
-通过将密钥推导函数至少应用于随机变量、用户标识符和应用服务器的标识符并使用该主密钥来计算所述密钥,所述随机变量已经由该用户设备从该认证服务器接收。
相应地,用于确定旨在使用户设备与应用服务器之间的通信安全的密钥的方法在该认证服务器中包括:
-由移动通信网络的认证服务器对用户设备进行认证,在所述认证期间,由该用户设备和该认证服务器生成秘密主密钥;
-由该认证服务器接收由该用户设备发送的用于与应用服务器进行通信的密钥请求;
-由该认证服务器向该用户设备发送随机变量;
-通过将密钥推导函数至少应用于该随机变量、用户标识符和该应用服务器的标识符并使用该主密钥来计算所述密钥。
通过该技术,从在由移动通信网络的认证服务器执行的认证期间生成的主密钥推导出使用户设备与应用服务器之间的通信安全的密钥。因此,该技术由认证服务器来实施,该认证服务器已经集成到移动通信网络中并因此与移动通信网络、并且特别是与管理用户数据的服务器接口连接。不必提供专用服务器(即,所谓的引导服务器)来确定此密钥。另外,密钥的计算与认证无关:随机变量用于计算密钥,而与用于认证的随机变量无关。因此,主密钥和推导出的密钥是分离的,已经使用了不同的随机变量。因此,只要主密钥没有过期,就可以根据需要推导任意多个密钥。一旦推导出密钥,则即使修改了主密钥,该密钥也仍然有效。然后可以通过计算出的密钥在用户设备与应用服务器之间建立安全通信。
以下所提及的各个实施例或特征可以被独立地或彼此组合地添加至如以上定义的用于确定密钥的方法中。
在一个特定实施例中,该认证服务器将其计算出的密钥传送给该应用服务器。
在用于确定密钥的方法的一个特定实施例中,该认证是在该用户设备向该移动通信网络进行注册的期间触发的。
因此,所提出的技术利用了在用户设备向移动通信网络的注册期间执行的认证。具体地,在目前3GPP组织针对第五代(5G)系统进行标准化过程中的认证过程(该过程在3GPP规范文档TS 33.501V0.6.0(2017-12)“5G系统的安全架构和过程(第15版)”中定义)中,主密钥KAUSF由用户设备和实施认证服务功能(AUSF)的服务器确定。对于EAP-AKA’认证,主密钥KAUSF是从扩展主会话密钥(EMSK)确定的。对于5G AKA认证,主密钥KAUSF从加密和完整性密钥推导而得。在其当前版本中,并且特别是在第6.2.2.1段中,规范文档TS 33.501指出,认证服务器能够将该主密钥KAUSF存储在存储器中,该主密钥是在认证过程和在移动通信网络的实体与用户设备之间执行以达成密钥协议的过程之间生成的。同一规范文档在第6.2.1段的编者注中还指出,当认证服务器将该主密钥KAUSF存储在存储器中时,用户设备是否需要将其存储在存储器中是未来研究的主题。将理解,为了实施所提出的确定技术,主密钥KAUSF必须由认证服务器和用户设备都存储在存储器中。由于该主密钥KAUSF被用于推导出旨在使用户设备与应用服务器之间的通信安全的密钥,因此与需要新的认证过程的当前GBA过程不同,不必执行针对与应用服务器的该通信的新的认证过程。因此,不需要每次用户设备希望与应用服务器进行通信时都请求用户设备的安全元素。该技术在5G移动通信网络中也很容易实现,只要其足以将新服务集成到认证服务器中即可。认证服务器然后公开该新服务,并且可以被应用服务器联系以确定旨在使用户设备与应用服务器之间的通信安全的密钥。
在确定方法的一个特定实施例中,该用户设备向该应用服务器发送接入请求,并从该应用服务器接收由该认证服务器准备的且旨在用于该用户设备的证明,该密钥请求是否被发送取决于该用户设备对所述证明的验证。
相应地,该认证服务器向该应用服务器传送旨在用于该用户设备的准备好的证明,所述证明旨在由该应用服务器响应于由该用户设备发送的接入请求而发送给该用户设备,该密钥请求是否被发送至该认证服务器取决于该用户设备对所述证明的验证。
该证明例如包含在认证令牌中。由认证服务器准备并由应用服务器传送给用户设备的该证明允许用户设备验证应用服务器的确已得到授权,并且在用户设备中执行任何密钥推导之前执行验证。在当前的GBA过程中,用户设备甚至在确保应用服务器被授权之前就已经推导出了密钥。应用服务器可能未经BSF服务器授权,并因此可能没有推导出的密钥可供其使用。
相应地,在已经从用户设备接收到接入请求之后,应用服务器接收旨在用于该用户设备的准备好的证明,并将该证明发送给用户设备,该密钥请求是否被发送至该认证服务器取决于该用户设备对所述证明的验证。
在一个特定实施例中,该认证服务器验证其是否已经计算出旨在使所述用户设备与所述应用服务器之间的通信安全的密钥,该随机变量是否被发送至该用户设备取决于所述验证。
因此,当应用服务器没有针对该用户设备预先请求认证服务器时,用户设备不推导密钥。
根据第二方面,本发明涉及一种用户设备,该用户设备被布置为经由移动通信网络与应用服务器进行通信,所述设备包括:
-认证模块,该认证模块允许该移动通信网络的认证服务器对该用户设备进行认证,在所述认证期间,由该用户设备和该认证服务器生成秘密主密钥;
-发送模块,该发送模块允许该用户设备向该认证服务器发送密钥请求,以与该应用服务器进行通信;
-计算模块,该计算模块允许通过将密钥推导函数至少应用于随机变量、用户标识符和应用服务器的标识符并使用该主密钥来计算旨在使该用户设备与该应用服务器之间的通信安全的密钥,所述随机变量已经由该用户设备从该认证服务器接收。
关于根据第一方面的用于确定密钥的方法所提及的优点可以直接转移到该用户设备。
该用户设备当然可以在结构方面包括如上所述的用于确定密钥的方法的各种特征,这些特征可以被组合或单独地实施。
根据第三方面,本发明涉及一种移动通信网络的认证服务器,该认证服务器包括:
-认证模块,该认证模块被布置为对用户设备进行认证,在所述认证期间,由该用户设备和该认证服务器生成秘密主密钥;
-接收模块,该接收模块用于接收由该用户设备发送的用于与应用服务器进行通信的密钥请求;
-发送模块,该发送模块允许该认证服务器向该用户设备发送随机变量;
-计算模块,该计算模块用于计算旨在使该用户设备与该应用服务器之间的通信安全的密钥,所述密钥是通过将密钥推导函数至少应用于该随机变量、用户标识符和应用服务器的标识符并使用该主密钥来计算的。
关于根据第一方面的用于确定密钥的方法所提及的优点可以直接转移到该认证服务器。
该认证服务器当然可以在结构方面包括如上所述的用于确定密钥的方法的各种特征,这些特征可以被组合或单独地实施。
根据第四方面,本发明涉及一种用于确定旨在使用户设备与应用服务器之间的通信安全的密钥的系统,该系统至少包括根据第二方面的用户设备和根据第三方面的认证服务器。
关于根据第一方面的用于确定密钥的方法所提及的优点可以直接转移到用于确定密钥的系统。
在一个特定实施例中,系统还包括应用服务器,所述应用服务器包括通信模块,该通信模块被布置为从认证服务器接收所述密钥。
根据第五方面,本发明涉及:一种用于用户设备的程序,该程序包含程序代码指令,这些程序代码指令旨在用于当该程序由该设备执行时命令以上所述的用于确定密钥的方法的步骤中由该用户设备实施的那些步骤的执行;以及一种由用户设备可读的存储介质,在其上存储有用于用户设备的程序。
关于根据第一方面的用于确定密钥的方法所提及的优点可以直接转移到用于用户设备的程序和该存储介质。
根据第六方面,本发明涉及:一种用于认证服务器的程序,该程序包含程序代码指令,这些程序代码指令旨在用于当该程序由该服务器执行时命令以上所述的用于确定密钥的方法的步骤中由该认证服务器实施的那些步骤的执行;以及一种由服务器可读的存储介质,在其上存储有用于服务器的程序。
关于根据第一方面的用于确定密钥的方法所提及的优点可以直接转移到用于认证服务器的程序和该存储介质。
附图说明
通过参考附图给出的对特定实施例的以下描述,将更好地理解用于确定旨在使用户设备与应用服务器之间的通信安全的密钥的技术,在附图中:
-图1示出了在其中实施根据一个特定实施例的用于确定密钥的方法的移动通信网络;
-图2展示了根据一个特定实施例的用于确定旨在使用户设备与应用服务器之间的通信安全的密钥的方法的步骤;
-图3示出了根据一个特定实施例的用户设备;
-图4示出了根据一个特定实施例的认证服务器;
-图5示出了根据一个特定实施例的应用服务器。
具体实施方式
图1示出了在其中实施根据一个特定实施例的用于确定密钥的方法的移动通信网络。
图1示出了在用户设备处于其名义网络中的情况下,移动通信网络中处于标准化过程中的第五代(5G)系统的架构。它对应于3GPP规范文档TS23.501V2.0.1(2017-12)的图4.2.3-1,标题为“5G系统的系统架构;第2阶段(版本15)”。该5G系统架构包括多个网络功能,这些网络功能在该规范文档TS 23.501的第6节中对功能进行了更详细的描述。这些网络功能的各种首字母缩写在附录中给出。下面仅详细描述有助于用于确定旨在使用户设备UE与应用服务器AF(AF表示应用功能)之间的通信安全的密钥KAF的方法的实施的网络功能。
因此,参考图1,为了实施应用,必须在用户设备10与应用服务器40之间建立安全通信。
用户设备UE(也称为终端)被布置为接入移动通信网络(在图1中示出)。在这样的用户设备的常规架构中,通常在包括适合于执行用户的应用的操作系统的执行环境、负责网络通信并称为“基带”的执行环境和安全元素之间进行区分。该安全元素是通用集成电路卡(UICC)或嵌入式通用集成电路卡(eUICC)。安全模块的示例是插入用户设备并用于移动电话的通用用户身份模块(USIM)。安全元素被布置为存储和处理敏感数据,例如允许接入网络的应用和诸如密码算法和密钥等相关认证数据(比如凭证)。此类数据旨在在接入网络时由网络的认证协议使用。对这种类型的用户设备没有限制,并且在另一示例实施例中,用户设备的安全元素是被布置为处理敏感网络接入数据的安全软件区。用户设备是移动设备,例如,诸如智能电话、平板计算机等智能终端。用户设备的用户已经与运营商取得了订阅,从而允许其接入运营商的移动网络。为此,用户设备10包括形成网络接入配置文件的安全数据。网络接入配置文件包括一组数据,这些数据允许以安全方式接入网络。更确切地说,接入配置文件包括用户设备10的至少一个标识符、用户可以通过其订阅而接入的网络的标识符、以及旨在在向网络的认证阶段期间使用的数据,诸如认证密钥,通常表示为K。
用户设备10经由在图1中表示为(R)AN的接入网来访问网络实体。该接入网包括基站,基站被布置为管理与用户设备10的无线电发射和接收。
这种5G系统架构是基于服务的。更确切地说,架构的元件被定义为经由到开发基础设施的接口提供其服务的网络功能,这些接口对于被授权使用它们的其他网络功能是公共的。网络存储功能(NRF)允许每个网络功能发现由其他网络功能所提供的服务。而且,网络开放功能(NEF)从其他网络功能接收信息,具体取决于其开放能力。NEF使用统一数据存储(UDR)将接收到的信息作为通过标准化接口结构化的数据存储在存储器中。
该移动通信网络尤其包括统一数据管理(UDM)服务器,标记为30。该管理服务器30尤其实施以下功能:
-生成3GPP认证与密钥协商(AKA)数据;
-在存储器中存储并管理5G系统的每个用户的用户永久标识符(SUPI);
-根据订阅数据进行接入授权;
-管理网络功能的注册以绑定用户设备;
-管理订阅。
该移动通信网络还包括认证服务器AUSF(用于认证服务功能),标记为20,并且适合于认证用户设备。
常规地,并且出于接入网络的目的,用户设备10的安全模块已经在存储器中存储了常规地表示为K的认证密钥,该认证密钥与统一数据管理服务器30共享。认证密钥K旨在用于生成认证数据并推导出诸如密钥KAUSF、KSEAF、KAMF等密钥以及用于加密信令、用户面中的数据、对无线电资源的控制的密钥、以及所谓的中间密钥。密钥的层次结构例如在3GPP规范文档TS 33.501V0.6.0(2017-12)“5G系统的安全架构和过程(版本15)”的图6.2.1-1中示出。在该认证过程期间,使用随机变量RAND。
主密钥KAUSF是在认证服务器20与用户设备10之间共享的秘密密钥。在所描述的实施例中,这两个设备在认证过程结束时将该主密钥KAUSF存储在存储器中。
对于EAP-AKA’认证,主密钥KAUSF是由用户设备10和认证服务器20从扩展主会话密钥(EMSK)确定的。有关更多细节,文档TS 33.501的第6.1.3.1段更详细地描述了该EAP-AKA’认证过程。对于5G AKA认证,主密钥KAUSF是由用户设备10和认证服务器20从CK/IK密钥(CK代表加密密钥,并且IK代表完整性密钥)确定的。主密钥KAUSF是通过将密钥推导函数(KDF)应用于输入参数而从CK/IK密钥推导而得的,诸如在文档TS 33.501附录A的第A.2段中所指定的。有关更多细节,文档TS 33.501的第6.1.3.2段更详细地描述了该5G AKA认证过程。
下文中,KDF对应于3GPP规范文档TS 33.220V15.1.0(2018-01)“通用认证架构(GAA);通用引导架构(GBA)(版本15)”中指定的功能。该文档尤其说明了如何为KDF构造输入字符串S,该字符串与所讨论的密钥一起构成输入参数的一部分。
为了实施所提出的方法,除了服务Nausf_UEAuthentication之外,认证服务器20还公开服务UE_AF_comm,该服务例如被表示为Nausf_UE_AF_comm(请求)。Nausf对应于赋予认证服务器AUSF与其他网络功能之间的接口的名称。同样地,服务UE_AF_comm由应用服务器40公开,其例如被表示为Naf_UE_AF_comm(UE_ausf_notify)。Naf对应于赋予应用服务器AF与其他网络功能之间的接口的名称。3GPP规范文档TS 23.502V2.0.0(2017-12)“5G系统的流程;第2阶段(第15版)”中详细介绍了由各种网络功能公开的服务。
应用服务器40可以由移动通信网络的运营商或第三方来管理。
用于确定旨在使用户设备与应用服务器之间的通信安全的密钥的系统1至少包括用户设备10和认证服务器20。
在一个特定实施例中,系统1还包括应用服务器40。
现在将参考图2描述用于确定旨在使用户设备与应用服务器之间的通信安全的密钥的方法,该方法由用户设备10、应用服务器40和认证服务器20实施。
下文中,背景是如上所述的5G移动通信网络。
在用户设备向移动通信网络注册期间,认证过程由用户设备10在步骤E1中实施,并由认证服务器20在步骤G1中实施。在该认证过程期间,用户设备10和认证服务器20从随机变量RAND1生成秘密主密钥KAUSF。在步骤E1结束时,用户设备10将所生成的主密钥KAUSF存储在存储存储器105中。相应地,在步骤G1结束时,认证服务器20将所生成的主密钥KAUSF存储在存储存储器205中。
用户设备10在步骤E2中向应用服务器40发送接入请求M1。该接入请求M1尤其包括:
-允许识别通信网络的信息(例如,移动国家码(MCC)和移动网络码(MNC)),
-用户设备10的标识符UEID,该标识符将由通信网络的运营商预先提供。
该标识符UEID不同于订阅标识符SUPI,但是网络运营商被布置为针对给定连接将该用户标识符UEID与订阅标识符SUPI相关联。在一个特定实施例中,该用户标识符UEID由网络运营商分配。
在一个特定实施例中,用户标识符UEID包括允许识别通信网络的信息。
举例说明,标识符UEID的形式为surname.forename@orange.fr。这样的标识符允许识别用户设备并且识别运营商Orange。然后可以从中推断出网络标识符MCC 208和MNC 01。
在步骤F1中,应用服务器40接收该消息M1。仍在该步骤F1期间,应用服务器40确定网络标识符,并在适当的情况下经由负责NEF的服务器向所识别的运营商的通信网络的认证服务器20发送请求M2。该请求M2尤其包括应用服务器标识符AFID和可选的所需有效性持续时间ExpireTimeAF。应用服务器的标识符AFID例如对应于“service.fr”。
在步骤G2中,认证服务器20接收该请求M2。仍然在该步骤G2中,认证服务器20通过基于主密钥KAUSF应用KDF来计算旨在使用户设备10与应用服务器40之间的通信安全的密钥KAF。输入字符串S尤其包括用户标识符UEID、有效性持续时间ExpireTimeAUSF、应用服务器的标识符AFID以及随机变量RAND2。随机变量由认证服务器20选择,并且与认证过程中使用的随机变量RAND1无关。有效性持续时间ExpireTimeAUSF由认证服务器20确定。
仍然在该步骤G2中,认证服务器20准备认证令牌AFAUTN,其包括应用服务器标识符AFID和旨在用于用户设备的证明P。该证明P对应于使用主密钥KAUSF、应用服务器标识符AFID和有效性持续时间ExpireTimeAUSF作为输入的函数f的结果:
P=f(KAUSF,AFID,ExpireTimeAUSF)。
选择该函数f是为了防止重放。
因此,认证令牌AFAUTN对应于AFID||f(KAUSF,AFID,ExpireTimeAUSF),其中,||对应于串连运算符。在此认证令牌中,应用服务器标识符AFID为明文。
认证服务器20然后与主密钥KAUSF和订阅标识符SUPI、尤其是用户标识符UEID和应用服务器标识符AFID相关联地存储在存储器中。
接下来,认证服务器20经由包含密钥KAF和认证令牌AFAUTN的消息M3通知应用服务器40。因此,认证服务器20将计算出的密钥KAF和为用户设备10准备的证明传送给应用服务器40,该证明旨在由应用服务器40响应于由用户设备发送的接入请求M1而发送给用户设备10。在一个特定实施例中,消息M3包括有效性持续时间ExpireTimeAUSF。
在步骤F2中,应用服务器40接收该消息M3。在一个特定实施例中,应用服务器40从KAF推导出两个密钥:用于加密的KAFenc和用于完整性保护的KAFint。
在该步骤F2中,应用服务器40响应于在步骤F1中接收到的接入请求M1向用户设备10发送消息M4。该消息M4尤其包括认证令牌AFAUTN,并且在适当的情况下包括有效性持续时间ExpireTimeAUSF。这里将注意,因为用户设备10认证到网络,所以用户设备10与应用服务器40之间的交换受到网络密钥的保护。
在步骤E3中,用户设备10接收消息M4并验证认证令牌AFAUTN的证明。该证明允许用户设备10验证所识别的应用服务器40确实已经与认证服务器20通信并且其确实具有可供其使用的密钥KAF。这使得可以验证应用服务器40的确被授权,并且可以在用户设备10中执行任何密钥推导之前进行验证。对密钥KAF的请求是否被发送至认证服务器20取决于由用户设备10对证明的验证。
当证明没有被证实一致时,用户设备10终止用于确定密钥KAF方法。
当证明被证实一致时,在步骤E4中,用户设备10向认证服务器20发送请求密钥以与应用服务器40进行通信的消息M5。该消息M5尤其包括其用户标识符UEID和应用服务器标识符AFID。这里将注意,因为用户设备10认证到网络,所以用户设备10与认证服务器20之间的交换受到网络密钥的保护。
在步骤G3中,认证服务器20接收该密钥请求消息M5。然后,认证服务器通过存储在存储器中的信息来验证其在步骤G2中是否已经计算出了旨在使用户设备10与应用服务器40之间的通信安全的密钥KAF。随机变量RAND2是否被发送至用户设备10取决于该验证。当验证是否定的时,认证服务器20终止用于确定密钥的方法。当验证为肯定的时,认证服务器20向用户设备10发送响应消息M6。该消息M6尤其包括用户标识符UEID、有效性持续时间ExpireTimeAUSF、应用服务器标识符AFID和由认证服务器20用于计算密钥KAF的随机变量RAND2。
在步骤E5中,用户设备10接收消息M6并以针对认证服务器20在步骤G2中所描述的方式从主密钥KAUSF推导出密钥KAF。在一个特定实施例中,用户设备10从密钥KAF推导出两个密钥:用于加密的KAFenc和用于完整性保护的KAFint。
因此,在该步骤E5结束时,用户设备10已经计算出旨在使与应用服务器40的通信安全的密钥KAF。应用服务器也具有对其可用的密钥KAF,该密钥是从认证服务器获得的。确定该密钥不需要新的认证,并且因此无需再次请求用户设备的安全元素。
然后,在用户设备10与应用服务器40之间建立通信,该通信通过密钥KAF而使得安全进行,并且在适当的情况下由有效性持续时间ExpireTimeAUSF所限制。因此,该确定方法可以被集成到用于在用户设备与应用服务器之间建立安全通信的方法中。
如果在新的认证之后修改了主密钥KAUSF,则这对安全通信没有影响,因为密钥KAF已与主密钥KAUSF分离。
因此可以针对与应用服务器的每次通信确定密钥KAF。
由于新5G架构是基于服务的,因此该服务很容易集成到认证服务器和应用服务器中。在认证服务器中创建一个新服务Nausf_UE_AF_comm(请求)。因此,该方法基于现有的认证服务器,该服务器因此已经集成到运营商的网络中。因此,该方法可以比现有技术的GBA技术更容易实施。该方法也易于在用户设备中实施。在应用服务器中创建了服务Naf_UE_AF_comm(UE_ausf_notitfy)。当实施该方法时,认证服务器与UDM服务器之间没有交换,该UDM服务器基于已执行的认证。因此,部署这种方法的成本很低。
所描述的实施例包括认证服务器准备用于用户设备的证明。该证明由应用服务器传送给用户设备,并由用户设备进行验证。在另一个特定实施例中,不实施这种证明的准备及其验证。
所描述的实施例限定了密钥推导函数的输入参数。在此将注意,在某些实施例中,这些参数中的某些参数可能不存在,或者实际上可以添加其他参数。
将理解的是,用于确定密钥的该技术允许简化用于使用户设备与应用服务器之间的通信安全的过程。一旦用户设备已经认证到其移动网络运营商的认证服务器,就很容易确定该密钥,同时消除了现有技术GBA技术的限制。还促进了将该技术集成到5G移动通信网络中。
对这些各种实施例没有限制,并且本领域技术人员将能够从中定义其他实施例,从而允许根据认证服务器与用户设备之间共享的主密钥、使用与在认证过程中使用的随机变量不同的随机变量来确定该密钥。
图3示意性地展示了一个特定实施例中的用户设备10。
用户设备10尤其包括:
-用于执行软件模块代码指令的处理器100;
-通信模块101,该通信模块形成与移动通信网络的通信接口,被布置为与通信网络的设备(例如与认证服务器和应用服务器)进行通信;
-存储区105,该存储区被布置用于存储程序,该程序包含用于实施确定方法的步骤的代码指令;
-存储存储器106,该存储存储器被布置用于存储在实施该确定方法期间所使用的数据;
-安全元素(图3中未示出)。
该用户设备还包括:
-认证模块102,该认证模块允许由移动通信网络的认证服务器20对用户设备进行认证,在所述认证期间,由该用户设备和该认证服务器生成秘密主密钥;
-计算模块103,该计算模块允许通过将密钥推导函数至少应用于随机变量、用户标识符和应用服务器的标识符并使用该主密钥来计算旨在使该用户设备与该应用服务器之间的通信安全的密钥,所述随机变量已经由该用户设备从该认证服务器接收;
-连接模块104,该连接模块被布置为通过密钥KAF来建立与应用服务器40的安全通信。
通信模块101尤其被布置为向认证服务器发送密钥请求,以与应用服务器进行通信。
存储存储器106尤其被布置为存储在认证过程期间确定的主密钥KAUSF。在一个特定实施例中,该认证过程是在该用户设备向该移动通信网络进行注册的期间触发的。
在一个特定实施例中,通信模块101尤其被布置为向应用服务器发送接入请求,并且从应用服务器接收由认证服务器准备的且旨在用于用户设备的证明。然后,计算模块103被布置为验证该证明,密钥请求是否被发送取决于该验证。
在一个特定实施例中,计算模块103被布置为从KAF推导出两个密钥:用于加密的KAFenc和用于完整性保护的KAFint。
这里将注意,用户设备10还包括被布置为执行该用户设备的各种功能的其他处理模块(图3中未示出)。
图4示意性地展示了一个特定实施例中的认证服务器20。
移动通信网络的认证服务器20尤其包括:
-用于执行软件模块代码指令的处理器200;
-通信模块201,该通信模块形成关于移动通信网络的通信接口,被布置为与通信网络的设备(例如与用户设备和应用服务器)进行通信;
-存储区204,该存储区被布置用于将程序存储在存储器中,该程序包含用于实施确定方法的步骤的代码指令;
-存储存储器205,该存储存储器被布置用于存储在实施该确定方法期间所使用的数据。
认证服务器20还包括:
-认证模块202,该认证模块被布置为对用户设备进行认证,在所述认证期间,由该用户设备和该认证服务器生成秘密主密钥;
-计算模块203,该计算模块用于计算旨在使该用户设备与该应用服务器之间的通信安全的密钥,所述密钥是通过将密钥推导函数至少应用于该随机变量、用户标识符和应用服务器的标识符并使用该主密钥来计算的。
通信模块201尤其被布置为接收由用户设备发送的密钥请求,该密钥请求的目的是与应用服务器进行通信并使得将随机变量发送给用户设备。通信模块201还被布置为将计算出的密钥传送到应用服务器。
存储存储器205尤其被布置为存储在认证过程期间确定的主密钥KAUSF。在一个特定实施例中,该认证过程是在该用户设备向该移动通信网络进行注册的期间触发的。
在一个特定实施例中,计算模块203尤其被布置为准备旨在用于用户设备的证明。然后,通信模块201被布置为将该证明传送给应用服务器,使得应用服务器可以响应于用户设备发送的接入请求而将证明发送给用户设备,该密钥请求是否被发送至认证服务器取决于如用户设备执行的对此证明的验证。
在一个特定实施例中,存储存储器205被布置为与主密钥KAUSF和订阅标识符SUPI、尤其是用户标识符UEID和应用服务器标识符AFID相关联地存储。
在一个特定实施例中,计算模块203尤其被布置为验证其是否已经计算出旨在使用户设备与应用服务器之间的通信安全的密钥,该随机变量是否被发送至该用户设备取决于该验证。该验证尤其包括对存储存储器205的咨询。
在一个特定实施例中,认证服务器包括被布置为公开如上所述的服务UE_AF_Comm的模块。
这里将注意,认证服务器20还包括被布置为执行该认证服务器的各种功能的其他处理模块(图4中未示出)。
图5示意性地展示了一个特定实施例中的应用服务器40。
应用服务器40尤其包括:
-用于执行软件模块代码指令的处理器400;
-通信模块401,该通信模块形成与移动通信网络的通信接口,被布置为与通信网络的设备(例如与用户设备和认证服务器)进行通信;
-存储区404,该存储区被布置用于存储程序,该程序包含用于实施确定方法的步骤的代码指令;
-存储存储器405,该存储存储器被布置用于存储在实施该确定方法期间所使用的数据。
应用服务器40还包括:
-用于确定网络标识符的模块402,被布置为根据从用户设备接收的接入请求M1确定网络标识符;
-连接模块403,该连接模块被布置为通过密钥KAF来建立与用户设备10的安全通信。
通信模块401尤其被布置为接收由用户设备发送的接入请求M1,并且将请求M2发送给所识别的运营商的通信网络的认证服务器20。通信模块401还被布置为接收旨在使与用户设备的通信安全的密钥KAF。
在一个特定实施例中,通信模块401被布置为从认证服务器接收旨在用于用户设备10的准备好的证明,并且响应于由用户设备发送的接入请求M1将该证明发送给用户设备10。
在一个特定实施例中,应用服务器40还包括计算模块,该计算模块被布置为从KAF推导出两个密钥:用于加密的KAFenc和用于完整性保护的KAFint。
在一个特定实施例中,存储存储器405被布置为与用户标识符UEID相关联地存储密钥KAF。
在一个特定实施例中,应用服务器包括被布置为公开如上所述的服务UE_AF_Comm的模块。
这里将注意,应用服务器40还包括被布置为执行该应用服务器的各种功能的其他处理模块(图5中未示出)。
通过软件部件和/或硬件部件来实施用于确定密钥的技术。在此方面,术语“模块”在此文档中可以对应于软件部件、硬件部件、或者一组硬件部件和/或软件部件,这些部件能够根据上文关于讨论的模块所描述的那样来执行一种功能或一组功能。
软件部件对应于一个或多个计算机程序、程序的一个或多个子程序或者更一般地对应于程序或软件封装的任何元素。这种软件部件被存储在存储器中、然后由物理实体的数据处理器加载并执行并且能够访问这个物理实体的硬件资源(存储器、存储介质、通信总线、输入/输出电路板、用户接口等)。
以相同的方式,硬件部件对应于硬件组件的任何元件。其可以是可编程的或不可编程的硬件部件、具有或不具有用于执行软件的集成处理器的问题。例如,这是集成电路、芯片卡、用于执行固件的电路板等的问题。
在一个特定实施例中,模块101、102、103、104被布置为实施上述确定方法中由用户设备实施的步骤。其优选的是软件模块的问题,该软件模块包含用于执行上述确定方法的步骤(或动作)中由用户设备实施的那些步骤的软件指令。因此,本发明还涉及:
-用于用户设备的程序,其包含程序代码指令,这些程序代码指令旨在用于当该用户设备执行所述程序时命令如以上所述的确定方法的步骤(或动作)中的那些步骤的执行;
-用户设备可读的存储介质,在该存储介质上存储了用于设备的程序。
在一个特定实施例中,模块201、202、203被布置为实施上述确定方法中由认证服务器实施的步骤。其优选的是软件模块的问题,该软件模块包含用于执行上述确定方法的步骤(或动作)中由认证服务器实施的那些步骤的软件指令。因此,本发明还涉及:
-用于认证服务器的程序,其包含程序代码指令,这些程序代码指令旨在用于当该认证服务器执行所述程序时命令以上所述的确定方法的步骤(或动作)中的那些步骤的执行;
-该认证服务器可读的存储介质,在该存储介质上存储了用于服务器的程序。
在一个特定实施例中,模块401、402、403被布置为实施上述确定方法中由应用服务器实施的步骤。其优选的是软件模块的问题,该软件模块包含用于执行上述确定方法的步骤(或动作)中由应用服务器实施的那些步骤的软件指令。因此,本发明还涉及:
-用于应用服务器的程序,其包含程序代码指令,这些程序代码指令旨在用于当该应用服务器执行所述程序时命令以上所述的确定方法的步骤(或动作)中的那些步骤的执行;
-该应用服务器可读的存储介质,在该存储介质上存储了用于服务器的程序。
这些软件模块可以被存储在数据介质中或经由数据介质传输。数据介质可以是硬件存储介质(例如CD-ROM、磁盘或硬盘)、或实际上诸如电信号、光信号或无线电信号、或电信网络等传输介质。
附录
-认证服务功能(AUSF)
-接入和移动性管理功能(AMF)
-数据网络(DN),例如,运营商服务,是对通信网络的扩展访问,或者实际上是第三方服务
-网络开放功能(NEF)
-NF存储功能(NRF)
-网络切片选择功能(NSSF)
-策略控制功能(PCF)
-会话管理功能(SMF)
-统一数据管理(UDM)
-用户面功能(UPF)
-应用功能(AF)
-用户设备(UE)
-(无线)接入网((R)AN)
Claims (13)
1.一种用于确定旨在使用户设备(10)与应用服务器(40)之间的通信安全的密钥的方法,所述方法包括:
-由移动通信网络的认证服务器(20)对用户设备进行认证(E1),在所述认证期间,由该用户设备和该认证服务器生成秘密主密钥;
-由该用户设备向该认证服务器发送(E4)密钥请求,以与该应用服务器进行通信;
-通过将密钥推导函数至少应用于随机变量、用户标识符和该应用服务器的标识符并使用该主密钥来计算(E5)所述密钥,所述随机变量已经由该用户设备从该认证服务器接收。
2.如权利要求1所述的确定方法,其中,所述认证是在该用户设备向该移动通信网络进行注册的期间触发的。
3.如权利要求1所述的确定方法,其中,该用户设备向该应用服务器发送(E2)接入请求,并从该应用服务器接收由该认证服务器准备的且旨在用于该用户设备的证明,该密钥请求是否被发送取决于该用户设备对所述证明的验证(E3)。
4.一种用于确定旨在使用户设备(10)与应用服务器(40)之间的通信安全的密钥的方法,所述方法包括:
-由移动通信网络的认证服务器(20)对用户设备进行认证(G1),在所述认证期间,由该用户设备和该认证服务器生成秘密主密钥;
-由该认证服务器接收(G3)由该用户设备发送的用于与应用服务器进行通信的密钥请求;
-由该认证服务器向该用户设备发送(G3)随机变量;
-通过将密钥推导函数至少应用于该随机变量、用户标识符和该应用服务器的标识符并使用该主密钥来计算(G2)所述密钥。
5.如权利要求4所述的确定方法,其中,该认证服务器向该应用服务器传送(G2)旨在用于该用户设备的准备好的证明,所述证明旨在由该应用服务器响应于由该用户设备发送的接入请求而发送给该用户设备,该密钥请求是否被发送至该认证服务器取决于该用户设备对所述证明的验证。
6.如权利要求4所述的确定方法,其中,该认证服务器验证(G3)其是否已经计算出旨在使所述用户设备与所述应用服务器之间的通信安全的密钥,该随机变量是否被发送至该用户设备取决于所述验证。
7.一种用户设备(10),被布置为经由移动通信网络与应用服务器(40)进行通信,所述设备包括:
-认证模块(102),该认证模块允许该移动通信网络的认证服务器(20)对该用户设备进行认证,在所述认证期间,由该用户设备和该认证服务器生成秘密主密钥;
-发送模块(101),该发送模块允许该用户设备向该认证服务器发送密钥请求,以与该应用服务器进行通信;
-计算模块(103),该计算模块允许通过将密钥推导函数至少应用于随机变量、用户标识符和应用服务器的标识符并使用该主密钥来计算旨在使该用户设备与该应用服务器之间的通信安全的密钥,所述随机变量已经由该用户设备从该认证服务器接收。
8.一种移动通信网络的认证服务器(20),所述认证服务器包括:
-认证模块(202),该认证模块被布置为对用户设备进行认证,在所述认证期间,由该用户设备和该认证服务器生成秘密主密钥;
-接收模块(201),该接收模块用于接收由该用户设备发送的用于与应用服务器进行通信的密钥请求;
-发送模块(201),该发送模块允许该认证服务器向该用户设备发送随机变量;
-计算模块(203),该计算模块用于计算旨在使该用户设备与该应用服务器之间的通信安全的密钥,所述密钥是通过将密钥推导函数至少应用于该随机变量、用户标识符和应用服务器的标识符并使用该主密钥来计算的。
9.一种用于确定旨在使用户设备(10)与应用服务器(40)之间的通信安全的密钥的系统(1),所述系统至少包括如权利要求7所述的用户设备和如权利要求8所述的认证服务器。
10.一种用于用户设备的程序,该程序包含程序代码指令,这些程序代码指令旨在用于命令如权利要求1至3之一所述的确定方法的步骤的执行,这些步骤在所述程序由该用户设备执行时由所述设备实施。
11.一种存储介质,该存储介质是用户设备可读的并且其上存储有如权利要求10所述的程序。
12.一种用于认证服务器的程序,该程序包含程序代码指令,这些程序代码指令旨在用于命令如权利要求4至6之一所述的确定方法的步骤的执行,这些步骤在所述程序由该认证服务器执行时由所述服务器实施。
13.一种存储介质,该存储介质是认证服务器可读的并且其上存储有如权利要求12所述的程序。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1850440 | 2018-01-19 | ||
| FR1850440A FR3077175A1 (fr) | 2018-01-19 | 2018-01-19 | Technique de determination d'une cle destinee a securiser une communication entre un equipement utilisateur et un serveur applicatif |
| PCT/FR2019/050056 WO2019141924A1 (fr) | 2018-01-19 | 2019-01-11 | Technique de détermination d'une clé destinée à sécuriser une communication entre un équipement utilisateur et un serveur applicatif |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111630882A true CN111630882A (zh) | 2020-09-04 |
| CN111630882B CN111630882B (zh) | 2024-01-23 |
Family
ID=62167479
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980009127.0A Active CN111630882B (zh) | 2018-01-19 | 2019-01-11 | 用户设备、认证服务器、介质、及确定密钥的方法和系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US11895487B2 (zh) |
| EP (1) | EP3741148B1 (zh) |
| JP (1) | JP7301852B2 (zh) |
| KR (1) | KR102632519B1 (zh) |
| CN (1) | CN111630882B (zh) |
| FR (1) | FR3077175A1 (zh) |
| WO (1) | WO2019141924A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023208183A3 (zh) * | 2022-04-29 | 2023-12-21 | 中国移动通信有限公司研究院 | 一种信息传输方法及设备 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11538031B2 (en) * | 2017-03-31 | 2022-12-27 | Vijay Madisetti | Method and system for identity and access management for blockchain interoperability |
| WO2022027674A1 (zh) * | 2020-08-07 | 2022-02-10 | 华为技术有限公司 | 一种通用引导架构中的方法及相关装置 |
| US11652646B2 (en) * | 2020-12-11 | 2023-05-16 | Huawei Technologies Co., Ltd. | System and a method for securing and distributing keys in a 3GPP system |
| US11956627B2 (en) * | 2021-02-19 | 2024-04-09 | Nokia Technologies Oy | Securing user equipment identifier for use external to communication network |
| CN114039771B (zh) * | 2021-11-08 | 2023-12-29 | 阿波罗智联(北京)科技有限公司 | 一种数据处理方法、装置、系统、电子设备及存储介质 |
| KR102626310B1 (ko) * | 2022-11-17 | 2024-01-18 | 주식회사 아이티어뱅크 | 솔루션 관리대상 시스템의 관리계정 생성방법 및 그 시스템 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1865656A1 (en) * | 2006-06-08 | 2007-12-12 | BRITISH TELECOMMUNICATIONS public limited company | Provision of secure communications connection using third party authentication |
| CN101207477A (zh) * | 2006-12-19 | 2008-06-25 | 中兴通讯股份有限公司 | 一种跨域多网守端到端会话密钥协商方法 |
| CN101669379A (zh) * | 2007-04-26 | 2010-03-10 | 高通股份有限公司 | 用于无线网络中换手之际的新密钥推导的方法和装置 |
| CN101810019A (zh) * | 2007-09-27 | 2010-08-18 | 朗讯科技公司 | 对无线网络中的节点的认证方法和装置 |
Family Cites Families (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1276363C (zh) * | 2002-11-13 | 2006-09-20 | 深圳市朗科科技有限公司 | 借助半导体存储装置实现数据安全存储和算法存储的方法 |
| DE10307403B4 (de) * | 2003-02-20 | 2008-01-24 | Siemens Ag | Verfahren zum Bilden und Verteilen kryptographischer Schlüssel in einem Mobilfunksystem und Mobilfunksystem |
| US8726023B2 (en) * | 2005-02-03 | 2014-05-13 | Nokia Corporation | Authentication using GAA functionality for unidirectional network connections |
| GB0504865D0 (en) * | 2005-03-09 | 2005-04-13 | Nokia Corp | User authentication in a communications system |
| DE102005026982A1 (de) * | 2005-06-10 | 2006-12-14 | Siemens Ag | Verfahren zur Vereinbarung eines Sicherheitsschlüssels zwischen mindestens einem ersten und einem zweiten Kommunikationsteilnehmer zur Sicherung einer Kommunikationsverbindung |
| US20070101122A1 (en) * | 2005-09-23 | 2007-05-03 | Yile Guo | Method and apparatus for securely generating application session keys |
| WO2007062689A1 (en) * | 2005-12-01 | 2007-06-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for distributing keying information |
| WO2007085175A1 (fr) * | 2006-01-24 | 2007-08-02 | Huawei Technologies Co., Ltd. | Procédé, système d'authentification et centre d'authentification reposant sur des communications de bout en bout dans le réseau mobile |
| EP1835688A1 (en) * | 2006-03-16 | 2007-09-19 | BRITISH TELECOMMUNICATIONS public limited company | SIM based authentication |
| DE102006036109B4 (de) * | 2006-06-01 | 2008-06-19 | Nokia Siemens Networks Gmbh & Co.Kg | Verfahren und System zum Bereitstellen eines Mesh-Schlüssels |
| CN101102186B (zh) * | 2006-07-04 | 2012-01-04 | 华为技术有限公司 | 通用鉴权框架推送业务实现方法 |
| WO2008004106A1 (en) * | 2006-07-06 | 2008-01-10 | Nokia Corporation | User equipment credential system |
| US8094817B2 (en) * | 2006-10-18 | 2012-01-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Cryptographic key management in communication networks |
| JP5312456B2 (ja) * | 2007-07-05 | 2013-10-09 | コーヒレント・ロジックス・インコーポレーテッド | 移動体テレビジョン放送システム |
| CN102111759A (zh) * | 2009-12-28 | 2011-06-29 | 中国移动通信集团公司 | 一种认证方法、系统和装置 |
| KR101683883B1 (ko) * | 2009-12-31 | 2016-12-08 | 삼성전자주식회사 | 이동 통신 시스템에서 보안을 지원하는 방법 및 시스템 |
| US8296836B2 (en) * | 2010-01-06 | 2012-10-23 | Alcatel Lucent | Secure multi-user identity module key exchange |
| EP2767029B1 (en) * | 2011-09-08 | 2015-07-01 | Telefonaktiebolaget LM Ericsson (PUBL) | Secure communication |
| BR112014010472A2 (pt) * | 2011-10-31 | 2017-04-18 | Nokia Corp | método para proporcionar um mecanismo de segurança para um código externo; aparelho; programa de computador incorporado em um meio legível por computador; e servidor de aplicação |
| US8893244B2 (en) * | 2011-11-30 | 2014-11-18 | Verizon Patent And Licensing Inc. | Application-based credential management for multifactor authentication |
| US9232391B2 (en) * | 2012-05-07 | 2016-01-05 | Industrial Technology Research Institute | Authentication system for device-to-device communication and authentication method therefor |
| FR2992811A1 (fr) * | 2012-07-02 | 2014-01-03 | France Telecom | Mise en place d'une association de securite lors de l'attachement d'un terminal a un reseau d'acces |
| EP2885904B1 (en) * | 2012-08-03 | 2018-04-25 | Vasco Data Security International GmbH | User-convenient authentication method and apparatus using a mobile authentication application |
| KR102142576B1 (ko) * | 2013-05-16 | 2020-08-10 | 삼성전자주식회사 | 단말간 통신을 위한 탐색 방법 및 장치 |
| ES2890499T3 (es) * | 2013-09-11 | 2022-01-20 | Samsung Electronics Co Ltd | Procedimiento y sistema para posibilitar una comunicación segura para una transmisión inter-eNB |
| WO2015072788A1 (en) * | 2013-11-14 | 2015-05-21 | Samsung Electronics Co., Ltd. | Method and apparatus for managing security key in a near fieldd2d communication system |
| US9413759B2 (en) * | 2013-11-27 | 2016-08-09 | At&T Intellectual Property I, Lp | Apparatus and method for secure delivery of data from a communication device |
| US9870395B2 (en) * | 2014-03-21 | 2018-01-16 | Pearson Education, Inc. | Conditioned transmission of query responses and connection assessments |
| US9491618B2 (en) * | 2014-09-26 | 2016-11-08 | Qualcomm Incorporated | Serving network authentication |
| US20160127903A1 (en) * | 2014-11-05 | 2016-05-05 | Qualcomm Incorporated | Methods and systems for authentication interoperability |
| US10237729B2 (en) * | 2015-03-05 | 2019-03-19 | Qualcomm Incorporated | Identity privacy in wireless networks |
| US9717003B2 (en) * | 2015-03-06 | 2017-07-25 | Qualcomm Incorporated | Sponsored connectivity to cellular networks using existing credentials |
| US9717004B2 (en) * | 2015-03-17 | 2017-07-25 | Qualcomm Incorporated | Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials |
| JP6833970B2 (ja) * | 2016-07-07 | 2021-02-24 | ノキア ソリューションズ アンド ネットワークス オサケユキチュア | 移動局国際加入者ディレクトリ番号を伴わないモバイル発信ショートメッセージサービスを用いたマシン型通信 |
| US10516994B2 (en) * | 2016-07-17 | 2019-12-24 | Qualcomm Incorporated | Authentication with privacy identity |
| US10433163B2 (en) * | 2016-09-19 | 2019-10-01 | Qualcomm Incorporated | Techniques for deriving security keys for a cellular network based on performance of an extensible authentication protocol (EAP) procedure |
| US10009768B2 (en) * | 2016-11-03 | 2018-06-26 | Blackberry Limited | Requesting system information |
| US10708267B2 (en) * | 2017-07-19 | 2020-07-07 | Mediatek Inc. | Method and associated processor for authentication |
| CN109560919B (zh) * | 2017-09-27 | 2021-02-09 | 华为技术有限公司 | 一种密钥衍生算法的协商方法及装置 |
| US11190510B2 (en) * | 2017-11-15 | 2021-11-30 | Parallel Wireless, Inc. | Two-factor authentication in a cellular radio access network |
| JP7437405B2 (ja) * | 2019-01-14 | 2024-02-22 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | セキュリティのための方法および装置 |
| WO2021151888A1 (en) * | 2020-01-31 | 2021-08-05 | Sony Group Corporation | User equipment, non-public network authentication-authorization-accounting server, authentication server function entity |
| US11652646B2 (en) * | 2020-12-11 | 2023-05-16 | Huawei Technologies Co., Ltd. | System and a method for securing and distributing keys in a 3GPP system |
-
2018
- 2018-01-19 FR FR1850440A patent/FR3077175A1/fr not_active Withdrawn
-
2019
- 2019-01-11 EP EP19703167.7A patent/EP3741148B1/fr active Active
- 2019-01-11 US US16/962,329 patent/US11895487B2/en active Active
- 2019-01-11 WO PCT/FR2019/050056 patent/WO2019141924A1/fr unknown
- 2019-01-11 CN CN201980009127.0A patent/CN111630882B/zh active Active
- 2019-01-11 JP JP2020539705A patent/JP7301852B2/ja active Active
- 2019-01-11 KR KR1020207021111A patent/KR102632519B1/ko active IP Right Grant
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1865656A1 (en) * | 2006-06-08 | 2007-12-12 | BRITISH TELECOMMUNICATIONS public limited company | Provision of secure communications connection using third party authentication |
| CN101207477A (zh) * | 2006-12-19 | 2008-06-25 | 中兴通讯股份有限公司 | 一种跨域多网守端到端会话密钥协商方法 |
| CN101669379A (zh) * | 2007-04-26 | 2010-03-10 | 高通股份有限公司 | 用于无线网络中换手之际的新密钥推导的方法和装置 |
| CN101810019A (zh) * | 2007-09-27 | 2010-08-18 | 朗讯科技公司 | 对无线网络中的节点的认证方法和装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023208183A3 (zh) * | 2022-04-29 | 2023-12-21 | 中国移动通信有限公司研究院 | 一种信息传输方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021510984A (ja) | 2021-04-30 |
| EP3741148A1 (fr) | 2020-11-25 |
| US11895487B2 (en) | 2024-02-06 |
| KR20200110345A (ko) | 2020-09-23 |
| KR102632519B1 (ko) | 2024-01-31 |
| EP3741148B1 (fr) | 2022-05-04 |
| JP7301852B2 (ja) | 2023-07-03 |
| US20200344603A1 (en) | 2020-10-29 |
| FR3077175A1 (fr) | 2019-07-26 |
| WO2019141924A1 (fr) | 2019-07-25 |
| CN111630882B (zh) | 2024-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11824981B2 (en) | Discovery method and apparatus based on service-based architecture | |
| CN111630882B (zh) | 用户设备、认证服务器、介质、及确定密钥的方法和系统 | |
| US11496320B2 (en) | Registration method and apparatus based on service-based architecture | |
| US11228442B2 (en) | Authentication method, authentication apparatus, and authentication system | |
| CN111147231B (zh) | 一种密钥协商的方法、相关装置及系统 | |
| US11159940B2 (en) | Method for mutual authentication between user equipment and a communication network | |
| CN112219415A (zh) | 在第一网络中使用用于第二旧网络的订户标识模块的用户认证 | |
| CN112105021B (zh) | 一种认证方法、装置及系统 | |
| CN113438196A (zh) | 一种服务授权方法、装置及系统 | |
| CN112075094A (zh) | 用于更新一次性秘密密钥的方法 | |
| AU2015416630A1 (en) | Methods and arrangements for authenticating a communication device | |
| Edris et al. | The case for federated identity management in 5G communications | |
| CN113676901A (zh) | 密钥管理方法、设备及系统 | |
| CN111770496B (zh) | 一种5g-aka鉴权的方法、统一数据管理网元及用户设备 | |
| EP3968590B1 (en) | Communication network component and method | |
| CN117678255A (zh) | 边缘启用器客户端标识认证过程 | |
| CN116868609A (zh) | 用于边缘数据网络的用户装备认证和授权规程 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |